Skip to content
 
You are here: Home » Unsere Angebote für berufliche Schulen » Arbeitsgruppen » Online-Dienste » Online-News » Ausgabe 12 » Münzensurrogate im Web Landeswappen

Münzensurrogate im Web

Andreas Grupp, Elektronikschule Tettnang
  

Dieser Artikel stellt die verschiedenen im Internet anzutreffenden Zahlungsarten dar. „Anzutreffend" ist natürlich ein relativer Begriff, resultiert aber aus der Schwierigkeit festzustellen, welche Zahlungsverfahren denn tatsächlich eingesetzt werden. Sowohl in der Literatur als auch auf den Websites der Lizenzinhaber sind die Informationen über den Verbreitungsgrad schwer bis gar nicht zu finden.

So ist beispielsweise das Millicent-Verfahren zur Zahlung von Kleinstbeträgen im Internet und in diversen Publikationen zu finden. Anhand einer Recherche, auf welchen E-Commerce-Sites es denn auch eingesetzt wird, zeigt sich aber, dass es eher ein auf Japan begrenzter Feldversuch ist und sonst noch nirgends in der „freien Wildbahn" anzutreffen ist. Zudem ist seine Zukunft durch den Verkauf und die Aufteilung des ursprünglichen Erfinders (Digital Equipment Corporation) noch fragwürdiger geworden.

Die hier beschriebenen Verfahren sind zumindest jeweils von mehreren Betreibern lizenziert. Bei konkurrierenden Verfahren ist aber nach wie vor nicht klar, welches davon sich durchsetzen wird. Aus diesem Grund wurde jeweils auch versucht, die dahinterliegenden Prinzipien aufzuzeigen.

Sämtliche zukunftsweisenden Verfahren haben die Verwendung von digitalen Unterschriften und Verschlüsselung (meist DES und RSA) gemeinsam. Eine Beschreibung dieser Verfahren würde den Rahmen dieses Artikels sprengen. Als Einleitung empfehle ich deshalb evtl. den Artikel „Verschlüsselung mit Pretty Good Privacy" aus den OnlineNews Nr. 9, S. 101 nochmals nachzulesen. Sie finden den Artikel „ Einführung in symmetrische und asymmetrische Verschlüsselung" auch online im Internet unter [10].

1. Unterscheidung der Zahlungsverfahren

Die in diesem Artikel beschriebenen Zahlungsverfahren wurden folgendermaßen unterteilt.

1. Mit Kreditkarten

2. An das Internet angepaßte Verfahren des bisherigen Zahlungsverkehrs bei Banken (Überweisung, Lastschriften, und andere electronic Cash).

3. Direktbezahlung mit „elektronischem Geld"

4. Bezahlung über Abrechnung via Provider

1.1. Zahlungsverfahren mit Kreditkarten

Die vorhandenen Kreditkartenverfahren lassen sich in die folgenden drei Kategorien einordnen:

 
1. Unverschlüsselte Übertragung der Kreditkartendaten an den Händler. Dies ist das unsicherste Verfahren überhaupt und wird nur noch bei Serverbetreibern eingesetzt, die nicht über das notwendige Know-how oder die notwendige Technik verfügen, um eines der beiden anderen Verfahren anzuwenden. Die Gefahrenquellen und Schwachpunkte bei diesem Verfahren sind:

a) Unberechtigt mithörende Dritte im Intra- bzw. evtl. auch im Internet können unberechtigterweise an die Kreditkartennummern gelangen und sie mißbrauchen. Dafür muß der abhörende Rechner die Datenpakete der anderen Rechner allerdings empfangen können (z.B. in nicht geswitchten Netzsegmenten, die eine Broadcastdomain bilden, oder Providermitarbeiter)


b) Unsicherheiten bei der gewährleisteten Datensicherheit beim Händler. Es kam bereits mehrfach vor, dass die Kreditkarten-Datenbank eines Händlers im Internet ungeschützt abrufbar war bzw. absichtlich durch Mitarbeiter des Händlers oder durch Angreifer/Hacker im Internet verfügbar gemacht wurde.


c) Der Händler hat keine Möglichkeit zu überprüfen, ob die Zahlung tatsächlich durch den Kreditkarteninhaber initiiert wurde. Prinzipiell muß er mit der Rückforderung der Zahlung rechnen, ohne die Ware zurückzuerhalten. Der Kunde kann Bestellungen abstreiten.


d) Der Kunde seinerseits hat keine Möglichkeit die Identität und damit auch ein bißchen die Seriosität des Händlers zu überprüfen. Seine Zahlung erfolgt in der Hoffnung, die bezahlte Ware in der versprochenen Qualität incl. Gewährleistung zu erhalten. Eine Sicherheit dafür hat er jedoch nicht! Dies ist insbesondere bei im Ausland „ansässigen" Händlern ein hohes Risiko für den Kunden.

  
e) Durch die einzelnen Schritte des Verfahrens erlangen sowohl der Händler als auch die Kundenbank einen Einblick in das Kaufverhalten des betroffen Kunden und können die daraus gewonnenen Kenntnisse auf unterschiedliche Arten (im ungefährlichsten Fall für gezielte personenbezogene Marketingmaßnahmen) nutzen.


In den USA ist zumindest Unterpunkt c) etwas entschärft. Die dortigen Kreditkartenunternehmen bieten den Händlern eine im Internet online verfügbare Überprüfung der Kreditkartendaten in Verbindung mit den dazugehörigen Adressinformationen des Kunden an.

2. Bei diesem Verfahren wird der gesamte Datenaustausch zwischen Kunde (Browser) und Händler (WWW-Server) unter Verwendung einer eigenen Protokollschicht im TCP/IP-Protokollstack - den sogenannten „Secure Socket Layer" - verschlüsselt. SSL-Server sind leicht an dem mit https:// beginnenden Uniform Ressource Locator (URL) erkennbar.

Durch Einsatz dieser Technik wird auf jeden Fall die mit Punkt 1a) zusammenhängende Abhörproblematik umgangen. Die Kommunikation zwischen Browser des Kunden und Server des Händlers erfolgt hier prinzipiell verschlüsselt. Zusätzlich kann sich insbesondere der Händler seine Identität bei einer unabhängigen Zertifizierungsinstanz (Certification Authority) [2] bestätigen lassen. Dieses Zertifikat wird dann beim Verbindungsaufbau zum Kunde übertragen und vermindert somit die mit Punkt 1d) verbundenen Identitäts-Unsicherheiten.

Prinzipiell bietet SSL auch die Möglichkeit einer Kundenzertifizierung. Dazu müßte sich der Kunde eine digitale Beglaubigung seiner Person ausstellen lassen. Auch dies wird durch unabhängige Zertifizierungsinstanzen (Certification Authoritys) angeboten. Bisher ist die Akzeptanz einer eigenen Zertifizierung allerdings eher gering. Für den Kunden ist dies mit zusätzlichem Aufwand verbunden. Insofern findet diese Art der Kundenzertifizierung vornehmlich im Bereich der digitalen Unterschriften für E-Mail-Verkehr (z.B. via PGP-CA's [2]) statt. Der gesetzliche Hintergrund für beide Arten der Zertifizierung ist in Deutschland durch das „ Informations- und Kommunikationsdienste-Gesetz - IuKDG [7]" sichergestellt.


Großer Vorteil von SSL ist die allgemeine Verfügbarkeit der notwendigen Software. Auf Clientseite sind die benötigten Verfahren bereits integraler Bestandteil der erhältlichen Browser und die meisten meiner Leser kennen wahrscheinlich die jeweiligen Browsermitteilungen beim Kontakt mit einem https://-Server. Aber auch auf Serverseite steht allen Händlern entsprechende Software zur Verfügung. Für den weltweit am meisten verbreiteten Webserver (Apache [3]; Marktanteil ca. 60% [4]) steht mit „openssl" [5] bzw. „mod_ssl" [6] eine ebenso weitverbreitete und kostenfreie Lösung zur Verfügung. Die Serversoftware selbst ist für Win9x/NT und alle Unix- u. Linux-Derivate verfügbar.



3. Die Probleme des ersten Verfahrens bzw. die Restprobleme des zweiten Verfahrens werden mit Hilfe der „Secure Electronic Transaction" (SET) umgangen [15].

 


Die bei SSL optionale Zertifizierung des Kunden ist bei voller Einhaltung der SET-Spezifikation vorgeschriebener Bestandteil des Verfahrens. Sowohl Händler als auch Kunde haben somit schon einmal Sicherheit bzgl. der Identität ihres Gegenübers (1c und 1d sind damit kein Thema mehr).

Sämtliche Zahlungsvorgänge werden wie bei SSL verschlüsselt übertragen (1a stellt damit ebenfalls kein Problem mehr dar).

Die im Verlauf eines Kaufs übermittelten Daten werden sauber in die Bestellinformationen und den eigentlichen Zahlungsvorgang getrennt. Der Händler erhält damit keine Kenntnis über die Kreditkartennummer des Käufers und die Bank erfährt nichts über die gekaufte Ware (Vermeidung von 1e). Trotzdem wird die finanzielle Transaktion sichergestellt.

Die Kundenbank bzw. das Kreditkarteninstitut ist unmittelbar in die Transaktion eingebunden und gewährleistet damit dem Händler auch unmittelbar die Bonität des Kunden.

Ganz nebenbei wird auch Problem 1b) umgangen. Da der Händler die Kreditkartendaten nie erhält, besteht auch die Gefahr einer wie auch immer gearteten Veröffentlichung durch den Händler nicht.

Sie fragen sich jetzt sicherlich, warum Ihnen ob dieser Vorteile SET noch nie aufgefallen ist? Nun ..., hierfür sind die folgenden Punkte verantwortlich:

· Die für SET notwendige Verschlüsselungs-Software ist in den Browsern nicht enthalten.

· Kundschaft ist im Internet anzutreffen, kennt aber das Verfahren einer persönlichen Zertifizierung nicht bzw. empfindet es als lästig.

· Die Kundschaft ist mit der durch SSL gebotenen Sicherheit zufrieden. Diese ist mittlerweile bei eCommerce-Servern eigentlich Standard. Die verbleibenden Sicherheitsprobleme bzw. Vertragsrisiken betreffen nur den Händler. Ihre Lösung würde die „Rückzugsmöglichkeiten" des Kunden beschneiden. Somit ist der Kunde nicht unbedingt an einer Lösung dieser „Restprobleme" interessiert.

 
1.2. An das Internet angepaßte Zahlungsverfahren der Banken

Die Verfahren des vorigen Kapitels betreffen vornehmlich Kreditkarteninstitute. Parallel dazu sind aber die Banken ebenfalls an einer Beteiligung am Handel im Internet interssiert. Für sie ist insbesondere die Integration ihrer Zahlungsverfahren in das Internet interessant. Aus dem täglichen Leben sind zur Bezahlung von Waren neben Bargeld insbesondere

· Überweisungen,

· Lastschriften (Abbuchungsermächtigungen),

· und ec-Karten

bekannt. Diese bargeldlosen Zahlungsvorgänge haben sich bewährt. Es war somit aus Bankensicht nur logisch zu versuchen, entsprechende Verfahren auch im Internet zu etablieren.

1.2.1. Überweisungen via Internet

Dieses Vorhaben ist bzgl. der reinen Portierung ins Internet geglückt. Bald jede Bank bietet zwischenzeitlich ihren Kunden in irgendeiner Form die Onlineverwaltung von Konten und damit Überweisungen im Internet an. Leider ist bislang tatsächlich nur von „irgendwelchen Formen" zu sprechen, da die Banken bislang kein standardisiertes Verfahren im Internet etabliert haben. Vielmehr wurden üblicherweise nur die bestehenden Homebanking-Mechanismen aus dem BTX-Verfahren in das Internet migriert. Die Authentizität des Kunden wird dabei über die Kombination aus Kontonummer und persönlicher Identifikationsnummer (PIN) sichergestellt. Zur sicheren Übermittlung dieser Daten werden verschiedene Verfahren benutzt:

· SSL-Server (siehe 1.1.2)

· Java-Applets, die die Daten vor der Übertragung verschlüsseln.

· ...

Im Gegensatz zu SSL-Servern erfährt der Kunde hier bzgl. der eingesetzten Verschlüsselungsverfahren im allgemeinen nichts mehr. Die Zufallsdaten zur Generierung der für die Verschlüsselung notwendigen Session-Keys werden teilweise durch „Herumwedeln" mit der Maus gewonnen.

Der mangelnde Einsatz standardisierter Verfahren ist sicherlich mit ein Grund für die bislang fehlende Umsetzung dieser Zahlungsvarianten beim Einkauf im Internet. Dies ist um so verwunderlicher als die Banken (hierbei vertreten durch den zentrale Kreditausschuß - ZKA) bereits seit 1996 ein derartiges Verfahren entwickelt haben und weiterentwickeln. Die entsprechend Schnittstellenspezifikation heißt „Home Banking Computer Interface (HBCI)" und liegt momentan bereits in der Version 2.1 vor [8]. Die Umsetzung durch die einzelnen Kreditinstitute hinkt jedoch schwer hinterher, so daß momentan nur eine absolute Minorität dieses Verfahren auch real anbietet [9].

Bei allgemeiner Verwendung von HBCI wäre der Vorteil, neben der allgemeinen Standardisierung des angewandten Verfahrens, insbesondere die Authentizitäts-Sicherstellung der Transaktionspartner durch Verwendung von Zertifizierungsinstanzen. Da dies ein wichtiger Faktor bei Zahlungsvorgängen zwischen anonymen Transaktionspartnern ist, bleibt zu hoffen, dass hier bald eine bessere und breitere Umsetzung dieser Schnittstelle durch die Banken vorgenommen wird.

1.2.2. Lastschriftverfahren bzw. Abbuchungsermächtigungen

Auch hier gibt es, wie bereits im vorigen Unterkapitel, keine direkt von den Banken stammende Lösung. Die Gründe dürften in einer fehlenden Infrastruktur sowohl bei den eingesetzten Techniken als auch beim Aufbau einer gemeinsamen Zertifizierungsinstanz liegen. Als Ausweg verwenden mittlerweile etliche Banken die CyberCash GmbH als „Zwischenstufe". Dabei besteht die Dienstleistung der CyberCash GmbH im Betrieb eines Zahlungs-Gateways zur Verbindung des Internets mit den Netzen der Banken und in der Bereitstellung der notwendigen Software für die angeschlossenen Banken. Eine Zahlungsvariante über CyberCash ist das „Electronic Direct Debit (EDD)" das ziemlich direkt mit dem wohlbekannten Lastschriftverfahren verglichen werden kann. Die Funktionsweise von EDD ist wie folgt:

1. Eine Bank, die sich des Verfahrens bedienen will, schließt einen entsprechenden Lizenzvertrag mit der CyberCash GmbH ab. Sie erhält u.a. dafür von der CyberCash GmbH zur Verteilung an ihre Kunden die notwendige Software. Für den Kunden ist das der elektronische Geldbeutel - der Wallet - und für den Händler „die Registrierkasse" - das CashRegister.

2. Die Bank vergibt nun an interessierte Kunden den Wallet und an Händler das CashRegister. Beide werden während der Installation auf den jeweiligen Rechnern (normaler Clientrechner beim Kunde bzw. Server des Händlers) mit einer eindeutigen Kennung versehen. Damit ist jeder „Geldbeutel" bzw. jede „Registrierkasse" mit einer eindeutigen Seriennummer versehen und somit klar identifizierbar. Allerdings ist die Software damit noch nicht einsatzfähig da nach wie vor noch nicht geklärt ist, welcher Geldbeutel bzw. welche Registrierkasse zu welcher Person gehört.

3. Sowohl der Kunde als auch die beteiligten Händler schließen nun mit der ausgebenden Bank einen entsprechenden Vertrag, der insbesondere die Verknüpfung zwischen Wallet- bzw. CashRegister-Seriennummer und einem realen Bankkonto sicherstellt. Nach Vertragsschließung bestätigen die Banken die Seriennummern mit Hilfe einer digitalen Unterschrift nach RSA-Verfahren [10]. Diese digitale Unterschrift aktiviert nun den Wallet bzw. das CashRegister. Die Banken sind somit gegenüber allen am Zahlungsverkehr beteiligten Partnern die notwendigen Zertifizierungsinstanzen. Sie bescheinigen mit ihrer Unterschrift die Identität der Partner und die Existenz eines entsprechenden Kontos. Durch die eindeutige Seriennummer der Anwendungen besteht auch die Möglichkeit einen Geldbeutel oder ein CashRegister „einzuziehen", wenn beispielsweise die Bonität nicht mehr gewährleistet ist.

4. Nun steht einer Zahlung per EDD nichts mehr im Wege. Bei Bestellung von Waren im Internet erhält der Kunde vom Händler eine entsprechende Rechnung in digitaler Form übermittelt. Die Rechnung ist mit Hilfe des Händlerschlüssels digital signiert (RSA).

5. Der Kunde prüft den Rechnungsbetrag und bestätigt die EDD-Zahlung gegebenenfalls durch digitale Signatur mit seinem Kundenschlüssel (RSA). Anschließend schickt er die bestätigte Rechnung an den Händler zurück. Die Zahlungsinformationen (Name des Kreditinstituts, Kto.-Nr., ...) werden dabei nur für CyberCash lesbar verschlüsselt (DES, RSA). Der Händler gelangt also an keinerlei Informationen über die Kundenbank.

6. Nun fügt der Händler an diese Transaktion noch seine Händlerdaten und schickt das Ganze an das CyberCash-Gateway.

7. Das CyberCash-Gateway prüft die diversen Transaktionsdaten (z.B. ob Rechnungsbetrag und Zahlungsbetrag übereinstimmen, ob das Wallet auch wirklich aktiviert ist, ...) und übermittelt im Erfolgsfall eine Zahlungsbestätigung an den Händler.

8. Der Händler kann nun die Ware (oder auch nur einen Aktivierungsschlüssel für die bereits übermittelte Ware) ausliefern und einen Kassenabschluß durchführen. Dabei wird durch die CyberCash GmbH der endgültige Zahlungsvorgang veranlaßt (Abbuchung des Zahlungsbetrags beim Kunden und Gutschrift beim Händler).

Eine entsprechende Grafik sowie weitere Erläuterungen finden Sie unter [12].

1.2.3. Einsatz der ec-Karte

Für ec-Karten ist die Etablierung derartiger Mechanismen leider noch weiter entfernt. Außer der PIN-Nummer bietet die ec-Karte keinerlei Sicherheitsüberprüfung des Benutzers. Um sie zeitgemäß umzusetzen, wäre zuerst ein entsprechender Chipkartenleser am Rechner erforderlich. Die PIN müßte durch andere Authentifizierungsmerkmale (Passwort-Satz, biometrische Erkennungsmerkmale, ...) ersetzt werden. Außerdem müssen die Transaktionen über Verschlüsselungsmechanismen (u.a. mittels digitalen Signaturen) geschützt werden. Die klare Unterscheidung zu anderen Verfahren hinsichtlich der verwendeten Mechanismen (z.B. dem bei Kreditkarten üblichen SET-Verfahren, siehe 1.1.3) ist hier dann eigentlich nicht mehr erkennbar.

1.3. Direktbezahlung mit „elektronischem Geld"

Um die aus dem Alltag bekannten Zahlungsverfahren vollständig im Internet abzubilden, dürfen natürlich digitale Münzen nicht fehlen. Wie in der persönlichen Handelsbeziehung eignen sie sich insbesondere für die Bezahlung von kleineren Beträgen. Im Internet stößt man hier vornehmlich auf zwei unterschiedliche Verfahren. Beide Verfahren haben amerikanischen Ursprung und sind im Falle von CyberCoin durch die deutsche CyberCash GmbH und bei eCash durch die „Deutsche Bank 24" lizenziert.

 
· CyberCoin wird wieder von diversen Banken in Verbindung mit der CyberCash GmbH angeboten.

· eCash wird in Deutschland nur von „Deutsche Bank 24" angeboten.

1.3.1. Das CyberCoin-Verfahren

Auch bei diesem Verfahren wird zuerst über entsprechende Vertragsbeziehungen zwischen Kunde u. Bank, Händler u. Bank sowie Bank u. CyberCash GmbH die Identität der beteiligten Transaktionspartner sichergestellt (siehe Kapitel 1.2.2). Erst danach können Zahlungen mit Hilfe von CyberCoins getätigt werden. Hier lassen sich zwei Hauptschritte unterscheiden

· Zuerst muß der Kunde seinen „Geldbeutel" - den Wallet - mit CyberCoins füllen. Er fordert dazu einen entsprechenden Betrag über seine Bank an. Dieser Betrag wird auf ein Schattenkonto transferiert und vom normalen Konto abgebucht. Der Betrag wird außerdem in Form von CyberCoins (pro Stück 0,05 DM) im Wallet abgelegt.

· Erst danach kann der Kunde mit CyberCoins bezahlen. Der eigentlich Zahlungsvorgang verläuft ziemlich ähnlich zum EDD aus Kapitel 1.2.2. Hauptunterschied ist der endgültige Zahlungsvorgang. Hier wird als Abschluß keine Lastschrift ausgelöst, sondern vielmehr der Zahlungsbetrag einfach vom Schattenkonto des Kunden auf das Schattenkonto des Händlers übertragen.

Im Vergleich zu realem Geld fällt hier (wie übrigens auch bei der Geldkarte) die Verwendung eines Schattenkontos auf. Dadurch ist die Zahlung im Vergleich zu normalem Bargeld für die CyberCash GmbH nicht anonym. Sie kann bei Bedarf nachvollzogen werden. Auch hierzu finden Sie weitere Informationen unter [12].

1.3.2. Das eCash-Verfahren

Das eCash-Verfahren versucht wie das CyberCoin-Verfahren Bargeld im Internet abzubilden. Entscheidender Unterschied ist hier die Anonymität des Zahlungsvorgangs. Das eCash-Verfahren stellt sicher, dass weder Händler noch Bank etwas über die Identität des Kunden bzw. der von ihm gekauften Ware erfahren. Gleichzeitig ist sichergestellt, dass eCash-"Münzen" echt sind und vom Kunde nicht mehrfach verwendet werden können.

Um eCash verwenden zu können, bedarf es natürlich wieder einer entsprechenden Software. Außerdem benötigt man bei der Bank ein entsprechendes eCash-Konto, auf dem Geld zur Umwandlung in eCash-Münzen abgelegt wird. Dieses eCash-Konto wird als Mint bezeichnet. Nach Installation der notwendigen Software läuft das Verfahren dann folgendermaßen ab:

1. Der Client erstellt selbstständig die Seriennummern für die auszugebenden Münzen. Die verwendete Funktion verhindert dabei das Risiko von gleichen Seriennummern dieses Kunden.

 
2. Mit Hilfe einer Zufallszahl - dem „blinding factor" - wird diese Seriennummer nun „unleserlich" gemacht. Die verwendete Funktion ist umkehrbar. Dadurch kann der Client unter Kenntnis des ursprünglich verwendeten „blinding factor's" die Seriennummer wieder berechnen.

3. Die per „blinding factor" unleserliche Seriennummer wird nun zur ausgebenden Bank transferiert. Diese prägt in die Münze das Verfallsdatum und den Betrag und bestätigt die Ausgabe der Münze durch eine digitale Signatur. Der Bank ist die Seriennummer der ausgegebenen Münze nicht bekannt. Damit sind später keine Rückschlüsse auf die damit gekauften Waren möglich.

4. Der auf die Münze geprägte Betrag wird aus dem Mint des Kunden abgebucht und einem eCash-Sammelkonto bei der Bank gutgeschrieben.

5. Der Kunde erhält die geprägte und signierte Münze zur lokalen Abspeicherung bzw. Verwendung. Zu diesem Zeitpunkt ist die Seriennummer auf der Münze nach wie vor nicht im „Klartext" lesbar.

6. Der in 2. verwendete „blinding factor" wird nun beim Kunden wieder entfernt. Das Resultat ist die geprägte und von der Bank signierte Münze die nun eine „leserliche" Seriennummer trägt. Das für diesen „Blinding-" und „De-Blinding"-Vorgang verwendete „blind signature"-Verfahren wurde von David Chaum entwickelt und patentiert. Es gewährleistet zwar die Überprüfbarkeit einer Münze auf Echtheit und Betrag, stellt aber gleichzeitig die Anonymität des Münzeninhabers sicher.

7. Um nun eine Ware zu bezahlen, wird eine derartige Münze (ca. 300 Byte groß) zum Händler oder auch zu einer anderen Privatperson (p2p) transferiert.

8. Der Empfänger kann nun erst einmal nicht erkennen, ob eine Münze noch gültig ist. Beispielsweise könnte das Verfallsdatum überschritten sein oder ein ganz Schlauer hat Münzen aus dem Backup eingespielt und versucht selbige doppelt auszugeben (double spending). Deshalb reicht der Händler die Münze nun zur Prüfung bei der Bank ein.

9. Die Bank prüft, ob ihre Unterschrift (siehe 3.) zum Betrag paßt, ob das Verfallsdatum nicht überschritten ist und insbesondere auch ob diese Münze nicht bereits einmal für eine Bezahlung verwendet wurde. Falls die Münze gültig ist, wird die Seriennummer in einer Datenbank gespeichert um die Münze damit für weitere Ausgaben zu entwerten (Verhindern von „double-spending").

10. Das Prüfergebnis wird dem Händler mitgeteilt, damit dieser gegebenenfalls die Ware ausliefern kann.

11. Abschließend erfolgt die Gutschrift des Betrags auf dem Mint des Händlers sowie die Abbuchung aus dem eCash-Sammelkonto der Bank.

 
1.4. Bezahlung über Abrechnung via Provider

Die vorigen Kapitel beschreiben, wie die althergebrachten Zahlungsverfahren für das Internet tauglich gemacht wurden. In jüngerer Zeit treten jedoch auch die Telekommunikations-Dienstleister bei Zahlungen in Erscheinung. Die Digitalisierung der Telefonnetze bringt als Nebeneffekt nämlich die klare Identifikation des Kommunikationsteilnehmers durch den Telekommunikations-Dienstleister. Anonymes Telefonieren gibt es zumindest aus Sicht der Vermittlungsstellen nicht mehr!!! Gleichzeitig unterhalten die Telefongesellschaften aber auch Abrechnunsabteilungen, um die in Anspruch genommenen Dienstleistungen auch in Rechnung stellen zu können. Es lag nun nahe Dienste die ohnehin via Telekommunikation angeboten werden, auch gleich über die Telefonrechnung abzubuchen. So sind die 0190-Nummern für Hotlines, Faxabrufsysteme, ... zwischenzeitlich eine wohlbekannte Größe im Dienstleistungssektor.

Viele Dienstleister planen nun aber eine Portierung ihres Angebots ins Internet. Da sich diese Firmen über ihre Dienstleistungen finanzieren, sind sie natürlich auch an einer sicheren Abrechnung interessiert. Man könnte nun die bislang erläuterten Zahlungsverfahren zur Abrechnung benutzen. Allerdings sind Lastschriften oder der Transfer virtueller Münzen für manche Anwendungen etwas unhandlich und zeitraubend. Einen Ausweg bietet hier wieder die Abrechnung der Dienstleistung über die Telefonrechnung.

Die Realisierung dieser Idee funktioniert im Prinzip folgendermaßen:

1. Der Anbieter plaziert seine Angebote nicht im Internet, sondern im Intranet eines speziellen Providers.

2. Dieser Provider setzt die gleichen Technologien wie das Internet ein (TCP/IP, http, ...). Allerdings ist sein Netz nicht per Standleitung an das Internet angeschlossen, sondern stellt eine abgeschlossene Insel dar.

3. Der Zugang zur „abgeschlossenen Insel" dieses Providers erfolgt durch direkte Einwahl an einem eigens dafür vorgesehenen Einwahlknoten.

4. Die Gateways in das Providernetz registrieren nun, welche Informationen abgerufen werden. Gleichzeitig ist hinterlegt welche Kosten für die jeweilige Information beim Abruf anfallen. Diese Kosten werden nun über die Telefongebühren abgerechnet.

Damit der Einwahlvorgang für den Kunden möglichst bequem abläuft, wird eine Client-Software auf dem Clientrechner installiert. Wird versucht eine zahlungspflichtige Seite abzurufen, wird die bisherige Verbindung zum normalen Internet-Provider beendet und eine Verbindung zur „kostenpflichtigen Insel" des Spezialproviders aufgebaut. In Deutschland wird ein derartiges Angebot beispielsweise von der Telekom und in-medias-res angeboten. Die „Insel" mit den entsprechenden Premiumangeboten nennt sich net900 (siehe [14]).

 
Aus Amerika liegen aber bereits die ersten Berichte vor, in denen diese speziellen „Insel"-Provider den zugrunde liegenden Automatismus dieser Zahlungsvariante ausnutzen. Die meisten Benutzer sind nämlich nicht gewohnt in einer Sitzung mehrer Provider zu haben. Sie achten deshalb nicht darauf, über welchen Provider sie sich im Internet bewegen, sondern vertrauen darauf, dass das schon alles seine Ordnung hat. Dieses Benutzerverhalten wird/wurde nun ausgenutzt um auch ganz normale Internetseiten weiterhin über das spezielle und teure Abrechnungsgateway abzurufen. Dadurch entstehen wesentlich höhere Kosten.

2. Quellen

[1] Abschlußbericht zum Projekt elektronische Zahlungssysteme (PEZ) des Instituts für Technikfolgenabschätzung und Systemanalyse des Forschungszentrum Karlsruhe (ITAS FZKA)

[2] Zertifizierungsinstanz PGP-CA des DFN
Krypto-Kampagne der c't
Zertifizierungsinstanz PGP-CA der Elektronikschule Tettnang oder per email

[3] Apache-Projekt

[4] Netcraft-Server-Survey

[5] OpenSSL

[6] mod_ssl - The Apache Interface to OpenSSL

[7] Informations- und Kommunikationsdienste-Gesetz - IuKDG

[8] Homebanking Computer Interface HBCI

[9] c't - Magazin für Computertechnik 10/2000, Euro-Banking, Textbox S. 151

[10] Einführung in symetrische und asymetrische Verschlüsselung

[11] Diverse PDF-Dateien von Netlife Internet Consulting und Software GmbH, Hamburg

[12] Website der CyberCash GmbH

[13] Wie funktioniert eCash, Chaos Computer Club e.V. Hamburg

[14] in media res - net900  

[15] Secure Electronic Transaction (SET)